KR20220032788A

KR20220032788A - Method And System for Providing Cyber Attack Simulation

Info

Publication number: KR20220032788A
Application number: KR1020200114537A
Authority: KR
Inventors: 김사웅; 서동민
Original assignee: 주식회사 인더포레스트
Priority date: 2020-09-08
Filing date: 2020-09-08
Publication date: 2022-03-15
Also published as: KR102401154B1

Abstract

Disclosed are a cyber attack simulation providing method and a system thereof. The present embodiment provides the cyber attack simulation providing method and the system thereof which identify an attack exposure surface, which needs to be managed for use to repeatedly check a security policy and a security state which are in operation in an organization, in advance, thereby enabling continuous security evaluation and effective security enhancement.

Description

Method And System for Providing Cyber Attack Simulation

본 발명의 일 실시예는 사이버 공격 시뮬레이션 제공 방법 및 시스템에 관한 것이다. One embodiment of the present invention relates to a method and system for providing a cyber attack simulation.

이하에 기술되는 내용은 단순히 본 실시예와 관련되는 배경 정보만을 제공할 뿐 종래기술을 구성하는 것이 아니다.The content described below merely provides background information related to the present embodiment and does not constitute the prior art.

최근 들어, 해킹으로 인한 데이터 침해 및 산업기술 유출 사고가 끊임없이 발생하고 있다. 지난 5년 동안 금융, 제조, 호텔, 공공, 유통, IT, 국방, 보안 분야에서 해킹과 데이터 침해 사고가 지속적으로 발생하고 있다. IBM과 포네몬 연구소의 최근 보고서에 따르면, 국내 기업들은 데이터 유출로 인해 기업들 평균 약 31억 원의 금전적인 피해를 본 것으로 나타났다. 산업기술보호협회에서 조사한 중소기업 기술보호 실태조사에 따르면 중소기업의 최근 3년간 산업기술 유출 피해액이 총 3,021억원에 달한 것으로 나타났다. Recently, data breaches and industrial technology leaks due to hacking are constantly occurring. Over the past five years, hacking and data breaches have occurred continuously in the fields of finance, manufacturing, hotel, public, distribution, IT, defense, and security. According to a recent report by IBM and Ponemon Research Institute, domestic companies suffered an average of about 3.1 billion won in financial damage due to data breaches. According to a survey on technology protection of SMEs conducted by the Industrial Technology Protection Association, the damage amount of industrial technology leakage by SMEs in the past three years totaled 302.1 billion won.

Cybersecurity Ventures의 사이버범죄 연차보고서에 따르면, 2021년까지 사이버공격을 통해 발생할 글로벌 경제 피해가 6조 달러에 달할 것으로 전망되고 있으며, 사이버공격으로 인해 발생할 수 있는 유무형 피해를 총망라한 비용으로 집계되고 있다.According to Cybersecurity Ventures' annual report on cybercrime, the global economic damage caused by cyberattacks is expected to reach $6 trillion by 2021, and it is counted as the total cost of tangible and intangible damage that can occur from cyberattacks.

해킹이 많아지고 피해가 심각해질수록 보안 기술은 빠르게 발전하고 있으나, 사이버 공격에 대응하기 위해 공격이 진행되는 시점에 이를 탐지하고 차단하기 위한 방어 기술들 영역에만 고도화되고 있다.As the number of hacks increases and the damage becomes more serious, the security technology is rapidly developing, but in order to respond to a cyber attack, it is being advanced only in the area of defense technologies to detect and block it at the time an attack is in progress.

사이버 공격 시뮬레이션(BAS: Breach and Attack Simulation) 기술은 2017년에 ‘Threat-Facing Technologies’의 하이프 사이클에서 BAS 기술을 혁신 촉발(Innovation Trigger) 단계에 배치하고 향후 5~10년 이내에 생산성 안정 단계 (Plateau)에 도달할 것으로 예측하였다. 이에 따라 현재는 해당 분야의 선도 기업들이 솔루션을 개발하여 시장을 구축하고 있다.Breach and Attack Simulation (BAS) technology put BAS technology in the innovation trigger stage in the hype cycle of 'Threat-Facing Technologies' in 2017, and the productivity stabilization stage (Plateau) within the next 5-10 years. ) was predicted to be reached. Accordingly, leading companies in the field are currently developing solutions and building the market.

최근 RSA 컨퍼런스에서 실시한 서베이에 따르면 많은 보안 전문가가 보안 장비와 서비스를 현재 이용하고 있지만, 실제 이러한 장비들이 의도대로 잘 작동하고 있는지 구매한 보안 제품의 기능을 잘 활용하고 있는지에 대한 확신이 없다. 더불어 보안 장비가 너무 복잡하고 설정하기 힘들다. 따라서, 사회적 측면에서 공격 시뮬레이션 기술을 필요로한다.According to a recent survey conducted at the RSA conference, many security professionals are currently using security devices and services, but are not sure whether these devices are actually working as intended or taking advantage of the features of the security products they purchase. In addition, the security equipment is too complex and difficult to set up. Therefore, it requires attack simulation technology from a social point of view.

보안 상태에 대한 지속적이고 일관된 테스트가 요구된다. 최근 반복적인 보안성 평가를 통해 공격 노출면을 파악하고, 대응 전략을 수립해 전체적인 IT 환경의 보안을 강화하는 접근법에 대한 중요성이 강조되고 있다. 따라서, 기술적 측면에서 공격 시뮬레이션 기술을 필요로한다.Continuous and consistent testing of security posture is required. Recently, the importance of an approach that strengthens the security of the overall IT environment by identifying the attack surface through repeated security evaluation and establishing a response strategy is being emphasized. Therefore, it requires attack simulation technology from a technical point of view.

본 실시예는 조직에서 운용중인 보안 정책 및 상태를 반복적으로 점검하기 위해 사용할 수 있도록 관리할 필요가 있는 공격 노출면을 미리 파악함으로써 지속적인 보안성 평가 및 효과적인 보안 강화할 수 있도록 하는 사이버 공격 시뮬레이션 제공 방법 및 시스템을 제공하는 데 목적이 있다.This embodiment provides a method of providing a cyber attack simulation that enables continuous security evaluation and effective security reinforcement by identifying in advance the attack surface that needs to be managed so that it can be used to repeatedly check the security policy and status in operation in the organization; The purpose is to provide a system.

본 실시예의 일 측면에 의하면, 공격자 단말기로부터 수신된 제어 명령을 기반으로 인터넷망에서 공격대상을 선정하고, 상기 공격대상에 대해 내부 정보를 수집하는 침투전 정보 수집 과정; 상기 내부 정보를 기초로 접근 가능 경로를 파악하는 최초 침투 과정; 상기 공격대상에 설치된 에이전트를 실행하도록 하는 거점확보 과정; 상기 에이전트와 연결 가능한 것으로 확인되면, 상기 공격대상으로 접근하는 권한 상승을 확인하는 권한상승 과정; 상기 에이전트로 상기 공격명령을 전송한 후 상기 공격명령에 따라 상기 에이전트가 설치된 공격대상이 무력화될 때, 상기 에이전트로 주요정보 수집명령을 전송하며, 상기 에이전트로부터 상기 주요정보 수집명령에 대응하는 주요정보를 수집하는 내부정찰 과정; 및 상기 주요정보를 외부로 탈취하고, 상기 에이전트를 이용하여 중요정보 탈취 흔적을 제거하도록 하는 목적달성 과정을 포함하는 것을 특징으로 하는 사이버 공격 시뮬레이션 제공 방법을 제공한다.According to an aspect of this embodiment, a pre-infiltration information collection process of selecting an attack target in the Internet network based on a control command received from an attacker terminal, and collecting internal information about the attack target; an initial penetration process of identifying an accessible path based on the inside information; a process of securing a base to execute the agent installed in the attack target; When it is confirmed that it is possible to connect with the agent, an authority elevation process of confirming an elevation of authority to access the attack target; After transmitting the attack command to the agent, when the attack target installed with the agent is ineffective according to the attack command, a main information collection command is transmitted to the agent, and the main information corresponding to the main information collection command from the agent an internal reconnaissance process to collect; And it provides a cyber attack simulation providing method comprising the steps of: stealing the main information to the outside and removing traces of the important information theft by using the agent.

이상에서 설명한 바와 같이 본 실시예에 의하면, 조직에서 운용중인 보안 정책 및 상태를 반복적으로 점검하기 위해 사용할 수 있도록 관리할 필요가 있는 공격 노출면을 미리 파악함으로써 지속적인 보안성 평가 및 효과적인 보안 강화할 수 있도록 하는 효과가 있다.As described above, according to this embodiment, by identifying in advance the attack surface that needs to be managed so that it can be used to repeatedly check the security policies and statuses being operated by the organization, continuous security evaluation and effective security can be strengthened. has the effect of

도 1은 본 실시예에 따른 사이버 공격 시뮬레이션 제공 시스템을 나타낸 도면이다.
도 2는 본 실시예에 따른 사이버 공격 시뮬레이션 제공 방법을 설명하기 위한 순서도이다.
도 3은 본 실시예에 따른 사이버 공격 시뮬레이션 기능 정의를 설명하기 위한 도면이다.
도 4는 본 실시예에 따른 침투 전 정보 수집 및 정찰 수행 단계를 설명하기 위한 도면이다.
도 5는 본 실시예에 따른 최초 침투 단계를 설명하기 위한 도면이다.
도 6은 본 실시예에 따른 거점 확보 단계를 설명하기 위한 도면이다.
도 7은 본 실시예에 따른 권한 상승 단계를 설명하기 위한 도면이다.
도 8은 본 실시예에 따른 내부정찰 단계를 설명하기 위한 도면이다.
도 9a,9b는 본 실시예에 따른 목적달성 단계를 설명하기 위한 도면이다.1 is a diagram illustrating a cyber attack simulation providing system according to the present embodiment.
2 is a flowchart illustrating a method for providing a cyber attack simulation according to the present embodiment.
3 is a diagram for explaining the definition of a cyber attack simulation function according to the present embodiment.
4 is a view for explaining the steps of collecting information and performing reconnaissance before infiltration according to the present embodiment.
5 is a view for explaining the first penetration step according to the present embodiment.
6 is a view for explaining the step of securing a base according to the present embodiment.
7 is a view for explaining an authority elevation step according to the present embodiment.
8 is a view for explaining the internal reconnaissance step according to the present embodiment.
9A and 9B are diagrams for explaining the step of achieving an object according to the present embodiment.

이하, 본 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, this embodiment will be described in detail with reference to the accompanying drawings.

도 1은 본 실시예에 따른 사이버 공격 시뮬레이션 제공 시스템을 나타낸 도면이다.1 is a diagram illustrating a cyber attack simulation providing system according to the present embodiment.

사이버 공격 시뮬레이션 제공 시스템은 경험적 측면에서 Offensive Security(모의해킹, APT 테스트)를 수행한 데이터를 기반으로 공격대상의 가장 취약한 포인트를 파악 가능하며, 다양한 공격 시나리오를 포함한다. 사이버 공격 시뮬레이션 제공 시스템은 기술적 측면에서 기 설정된 단계(예컨대, 총 6단계)에 따라 공격을 수행한다.The cyber attack simulation providing system can identify the most vulnerable point of the attack target based on the data that performs Offensive Security (mock hacking, APT test) in the empirical aspect, and includes various attack scenarios. The cyber attack simulation providing system performs an attack according to preset steps (eg, a total of 6 steps) in terms of technology.

사이버 공격 시뮬레이션 제공 시스템은 실제 노출된 기업 정보를 수집한 후 수집된 정보를 이용하여 외부에서 내부로 침투하는 시나리오를 구성한다. 사이버 공격 시뮬레이션 제공 시스템은 내부 침투 후, 단계적 공격의 흐름을 마이터 어택(Mitre Attack)과 연계하여 세부 공격 기술을 자동으로 수행할 수 있는 시뮬레이터를 구성한다.The cyber attack simulation providing system collects the company information that is actually exposed and uses the collected information to construct a scenario of infiltration from the outside to the inside. The cyber attack simulation providing system configures a simulator that can automatically perform detailed attack techniques by linking the flow of a step-by-step attack with Miter Attack after internal penetration.

사이버 공격 시뮬레이션 제공 시스템은 플러그인(Plug-In) 시나리오 기반으로 새로운 유형의 공격 기술 및 시나리오를 확장하여 적용할 수 있다. 사이버 공격 시뮬레이션 제공 시스템은 운영적인 측면에서 새로운 해킹 시나리오에 따른 기법/기술, 신규 취약점, 변종 악성코드를 지속적으로 반영할 수 있다. 사이버 공격 시뮬레이션 제공 시스템은 예컨대, 6단계별 공격 테스트 시뮬레이터(Attack Simulator)를 제공한다.The cyber attack simulation providing system can expand and apply new types of attack technologies and scenarios based on plug-in scenarios. In terms of operation, the cyber attack simulation providing system can continuously reflect techniques/techniques, new vulnerabilities, and variant malicious codes according to new hacking scenarios. The cyber attack simulation providing system provides, for example, a six-step attack test simulator (Attack Simulator).

사이버 공격 시뮬레이션 제공 시스템은 1단계로 침투전 정보수집/정찰을 수행한다. 사이버 공격 시뮬레이션 제공 시스템은 1단계로 외부 정보 수집(DNS, Sub-Domain, 열린 Port 및 서비스 등), 웹서버 정보 수집(시스템 종류, Version, CMS, 개발언어 등), 공개(Open) 및 딥 웹(Deep Web) 정보 수집(중요 파일, 민감 정보-이메일(Eail), 전화번호 등)을 수행한다.The cyber attack simulation providing system performs pre-infiltration information collection/reconnaissance in the first stage. The cyber attack simulation providing system is the first step in collecting external information (DNS, Sub-Domain, open ports and services, etc.), collecting web server information (system type, version, CMS, development language, etc.), opening and deep web (Deep Web) Collects information (important files, sensitive information-e-mail, phone number, etc.).

사이버 공격 시뮬레이션 제공 시스템은 2단계로 최초침투 시뮬레이터를 제공한다. 사이버 공격 시뮬레이션 제공 시스템은 2단계로 악성코드 첨부파일(스피어피싱)/악성링크(워터링홀) 메일 발송 및 확인, 식별된 인프라(WEB, WAS, CMS 등) 정보/서비스 취약점 공격, 방화벽 없는 서버 침투 공격(쉘쇼크, RDP, FTP, SSH)을 수행한다.The cyber attack simulation providing system provides the first penetration simulator in two stages. The cyber attack simulation providing system sends and confirms malicious code attachments (spear phishing)/malicious link (watering hole) mail in two steps, attacks on identified infrastructure (WEB, WAS, CMS, etc.) information/service vulnerabilities, server penetration without firewall Perform attacks (shellshock, RDP, FTP, SSH).

사이버 공격 시뮬레이션 제공 시스템은 3단계로 거점확보 시뮬레이터를 제공한다. 사이버 공격 시뮬레이션 제공 시스템은 3단계로 PC 및 서버 거점 확보, 공격 서버와 리버스 커넥션(Reverse Connection) 시 지정한 명령 수행, 키-로깅 정보 수집을 수행한다.The cyber attack simulation providing system provides a base securing simulator in three steps. The cyber attack simulation providing system performs three steps: securing a PC and server base, executing a specified command during a reverse connection with the attack server, and collecting key-logging information.

사이버 공격 시뮬레이션 제공 시스템은 4단계로 권한상승 시뮬레이터를 제공한다. 사이버 공격 시뮬레이션 제공 시스템은 4단계로 리눅스 환경 권한 상승을 위한 정보 수집, 윈도우 환경 권한 상승을 위한 정보 수집, 시스템 권한 상승 후 무차별 대입 공격(Brute-Force)를 수행한다. The cyber attack simulation providing system provides a privilege escalation simulator in four steps. The cyber attack simulation providing system performs a brute-force attack after collecting information for Linux environment privilege elevation, Windows environment privilege elevation, and system privilege elevation in four steps.

사이버 공격 시뮬레이션 제공 시스템은 5단계로 내부정찰 시뮬레이터를 제공한다. 사이버 공격 시뮬레이션 제공 시스템은 5단계로 내부서버 거점확보 기능 및 정찰 반복을 수행한다.The cyber attack simulation providing system provides the internal reconnaissance simulator in five steps. The cyber attack simulation providing system performs the function of securing an internal server base and repeating reconnaissance in five steps.

사이버 공격 시뮬레이션 제공 시스템은 6단계로 목적달성 시뮬레이터를 제공한다. 사이버 공격 시뮬레이션 제공 시스템은 6단계로 테스트용 악성코드 삽입 기능, 테스트용 중요 파일 압축 및 전송, 은닉/회피를 위한 로그(Log) 자동 삭제를 수행한다.The cyber attack simulation providing system provides the goal achievement simulator in six steps. The cyber attack simulation providing system performs the function of inserting malicious code for testing in 6 steps, compressing and transmitting important files for testing, and automatically deleting logs for hiding/avoidance.

본 실시예에 따른 사이버 공격 시뮬레이션 제공 시스템은 공격자 단말기(110), 공격 서버(120), 에이전트(130)를 포함한다. 사이버 공격 시뮬레이션 제공 시스템에 포함된 구성요소는 반드시 이에 한정되는 것은 아니다.The cyber attack simulation providing system according to the present embodiment includes an attacker terminal 110 , an attack server 120 , and an agent 130 . Components included in the cyber attack simulation providing system are not necessarily limited thereto.

공격자 단말기(110)는 공격 서버(120)로 공격대상 정보를 전송한다. 공격자 단말기(110)는 공격 서버(120)로 공격대상에 대한 내부정보 수집명령을 전송한다. 공격자 단말기(110)는 공격 서버(120)로 공격대상에 대한 공격명령을 전송한다.The attacker terminal 110 transmits attack target information to the attack server 120 . The attacker terminal 110 transmits an internal information collection command for the attack target to the attack server 120 . The attacker terminal 110 transmits an attack command to the attack target to the attack server 120 .

공격자 단말기(110)는 공격 서버(120)로 공격대상에 대한 에이전트 설치 및 배포 명령을 전송한다. 공격자 단말기(110)는 공격 서버(120)로 공격명령을 전송한다. 공격자 단말기(110)는 공격 서버(120)로 공격대상에 대한 주요정보 수집명령을 전송한다. 공격자 단말기(110)는 공격 서버(120)로 탈취 흔적 제거 명령을 전송한다.The attacker terminal 110 transmits an agent installation and distribution command for the attack target to the attack server 120 . The attacker terminal 110 transmits an attack command to the attack server 120 . The attacker terminal 110 transmits a main information collection command for the attack target to the attack server 120 . The attacker terminal 110 transmits a command to remove the trace of the stealing to the attack server 120 .

공격 서버(120)는 외부망으로부터 정보를 수집하고, 서비스를 식별한다. 공격 서버(120)는 외부망으로부터 정보를 수집된 정보 중 공격대상을 특징으로 공격대상으로 공격 및 최초 침투를 수행한다. 공격 서버(120)는 공격대상으로 침투 후, 거점 확보를 위한 연결 및 에이전트(130) 설치를 수행하도록 한다.The attack server 120 collects information from an external network and identifies a service. The attack server 120 performs an attack and initial penetration as an attack target characterized by an attack target among information collected from an external network. After the attack server 120 penetrates into an attack target, a connection for securing a base and installation of the agent 130 are performed.

공격 서버(120)는 공격대상으로 리버스 커넥션(Reverse Connection) 및 에이전트1(A1) 설치 후 권한 상승을 위한 공격을 수행한다. 공격 서버(120)는 공격대상으로 에이전트1(A1)에 공격명령 전달 후, 내부 정찰을 통한 에이전트2(A2)로 지속적 확산(전이) 공격을 수행한다. 공격 서버(120)는 공격대상으로 에이전트1(A1), 에이전트2(A2)에 공격명령 전달 후 목적달성(중요정보 탈취 및 흔적 제거 등)을 수행한다.The attack server 120 performs an attack for privilege elevation after installing a reverse connection and agent 1 (A1) as an attack target. The attack server 120 transmits an attack command to agent 1 (A1) as an attack target, and then performs a continuous spread (transfer) attack to agent 2 (A2) through internal reconnaissance. The attack server 120 transmits an attack command to the agent 1 (A1) and agent 2 (A2) as an attack target, and then performs the purpose (such as stealing important information and removing traces).

공격 서버(120)는 침투전 정보 수집 과정, 최초 침투 과정, 거점확보 과정, 권한상승 과정, 내부정찰 과정, 목적달성 과정을 수행한다.The attack server 120 performs a pre-infiltration information collection process, an initial infiltration process, a base securing process, an authority elevation process, an internal reconnaissance process, and an objective achievement process.

공격 서버(120)는 공격자 단말기(110)로부터 수신된 제어 명령을 기반으로 외부망에서 공격대상을 선정하고, 공격대상에 대해 내부 정보를 수집하는 침투전 정보 수집 과정을 수행한다.The attack server 120 selects an attack target from the external network based on the control command received from the attacker terminal 110 and performs a pre-infiltration information collection process of collecting internal information about the attack target.

공격 서버(120)는 침투전 정보 수집 과정을 수행하기 위해 외부망에서 공격대상에 대해 OSINT(Open Source INTelligence), 크롤링(Crawling), 다크웹(DarkWeb)을 기반으로 외부에 공개된 정보를 내부 정보로 수집한다. 공격 서버(120)는 침투전 정보 수집 과정을 수행하기 위해 외부망에서 공격대상에 대해 스캔한 정보를 내부 정보로 수집한다.The attack server 120 collects information disclosed to the outside based on OSINT (Open Source Intelligence), crawling, and dark web for an attack target in an external network to perform a pre-penetration information collection process. collected with The attack server 120 collects information scanned for an attack target from an external network as internal information in order to perform a pre-infiltration information collection process.

공격 서버(120)는 침투전 정보 수집 과정을 수행하기 위해 외부망에서 공격대상을 선별한 후 공격대상에 대한 서비스 식별 정보, 검색엔진 정보, 서브 도메인 정보를 내부 정보로서 수집한다.The attack server 120 collects service identification information, search engine information, and sub-domain information for the attack target as internal information after selecting an attack target from an external network to perform a pre-infiltration information collection process.

공격 서버(120)는 공격대상으로부터 수집된 내부 정보를 기초로 접근 가능 경로를 파악하는 최초 침투 과정을 수행한다.The attack server 120 performs an initial penetration process of identifying an accessible path based on internal information collected from an attack target.

공격 서버(120)는 최초 침투 과정을 수행하기 위해, 공격대상으로부터 수집된 내부 정보를 기반으로 공격대상에 대한 취약점을 파악한다. 공격 서버(120)는 취약점을 기반으로 공격대상에 접근 가능한 것으로 확인되면, 취약점에 대한 익스플로잇 공격(Exploit)을 수행한다. 공격 서버(120)는 취약점을 기반으로 공격대상에 접근이 불가한 것으로 확인되면, 제1 보안 우회로 공격대상에 접근한다. 공격 서버(120)는 제1 보안 우회로 공격대상에 접근이 불가한 것으로 확인되면, 공격대상에 일반 경로로 접근한다. 공격 서버(120)는 일반 경로로 공격대상에 접근 불가한 것으로 확인되면, 기타 경로로 악성 코드 공격을 수행한다.The attack server 120 identifies the vulnerability of the attack target based on internal information collected from the attack target in order to perform the first penetration process. When it is confirmed that the attack target can be accessed based on the vulnerability, the attack server 120 performs an exploit attack on the vulnerability. If it is confirmed that the attack server 120 cannot access the attack target based on the vulnerability, the attack server 120 approaches the first security bypass attack target. When it is confirmed that the attack server 120 cannot access the first security bypass attack target, the attack server 120 approaches the attack target through a general path. When it is confirmed that the attack target cannot be accessed through the general path, the attack server 120 performs a malicious code attack through other paths.

공격 서버(120)는 최초 침투 과정을 수행하기 위해, 공격대상에 무차별 대입 공격(Brute-Force)을 수행하거나 파일 업로드(File Upload)를 수행한 디폴트 페이지(Default Page)를 확인하거나 SQL 인젝션(SQL Injection)을 수행한 SQL 에러 페이지(SQL Error Page)를 확인하여 공격대상에 대한 취약점을 파악한다.The attack server 120 performs a brute-force attack on the attack target to perform the first penetration process, checks the default page on which file upload is performed, or performs SQL injection (SQL Injection) is performed, and the vulnerability of the attack target is identified by checking the SQL Error Page.

공격 서버(120)는 공격대상에 설치된 에이전트를 실행하도록 하는 거점확보 과정을 수행한다.The attack server 120 performs a process of securing a base to execute the agent installed on the attack target.

공격 서버(120)는 거점확보 과정을 수행하기 위해, 취약점에 대한 익스플로잇 공격이 성공하거나, 제1 보안 우회로 공격대상에 접근하거나, 일반 경로로 공격대상에 접근하거나, 악성 코드 공격이 성공하는 경우, 공격대상에 설치된 에이전트(130)로 연결이 가능한지의 여부를 확인한다. 확인 결과 에이전트(130)로 연결이 가능한 것으로 확인되면, 공격 서버(120)는 에이전트(130)로 에이전트(130)를 실행하도록 하는 실행 명령을 전송한다. 확인 결과 에이전트(130)로 연결이 불가한 것으로 확인되면, 공격 서버(120)는 제2 보안 우회로 에이전트(130)로 실행 명령을 전송한다.In order to perform the process of securing a base, the attack server 120 succeeds in an exploit attack on a vulnerability, accesses the first security bypass attack target, approaches the attack target through a general path, or when a malicious code attack succeeds, It is checked whether it is possible to connect to the agent 130 installed in the attack target. If it is confirmed that the connection to the agent 130 is possible as a result of the check, the attack server 120 transmits an execution command to the agent 130 to execute the agent 130 . If it is confirmed that connection to the agent 130 is not possible as a result of the check, the attack server 120 transmits an execution command to the second security bypass agent 130 .

공격 서버(120)는 거점확보 과정을 수행하기 위해, 공격대상에 대해 SQL 인젝션(SQL Injection)을 수행하여 xp_cmdshell 확장프로시저, 웹쉘 생성 또는 명령어 실행, 서버 권한 확인을 수행한다. 공격 서버(120)는 확인된 정보를 기반으로 에이전트(130)가 공격대상에 다운로드되도록 한 후 에이전트(130)를 실행하도록 하는 실행 명령을 공격대상으로 전송한다. 공격 서버(120)는 실행 명령에 의해 에이전트(130)가 실행되면, 에이전트(130)와 리버스 커넥션(Reverse Connection)을 수행한다. 이후 공격 서버(120)는 에이전트(130)에서 퍼시스턴스(Persistence) 기능을 수행하도록 하고, 에이전트(130)와 터널링(tunneling)을 구성한다.The attack server 120 performs an xp_cmdshell extension procedure, webshell creation or command execution, and server authorization check by performing SQL injection on the attack target in order to perform the process of securing a base. The attack server 120 transmits an execution command for executing the agent 130 to the attack target after the agent 130 is downloaded to the attack target based on the confirmed information. When the agent 130 is executed by the execution command, the attack server 120 performs a reverse connection with the agent 130 . Thereafter, the attack server 120 causes the agent 130 to perform a persistence function, and configures tunneling with the agent 130 .

공격 서버(120)는 공격대상에 설치된 에이전트(130)와 연결 가능한 것으로 확인되면, 공격대상으로 접근하는 권한 상승을 확인하는 권한상승 과정을 수행한다.When it is confirmed that the attack server 120 can connect with the agent 130 installed in the attack target, the attack server 120 performs a privilege elevation process for confirming the elevation of access to the attack target.

공격 서버(120)는 권한상승 과정을 수행하기 위해, 공격대상에 설치된 에이전트(130)를 이용하여 공격명령을 전송한 후 공격명령에 따라 에이전트(130)가 설치된 공격대상이 무력화될 때, 공격대상으로 접근하는 권한 상승을 확인한다.The attack server 120 transmits an attack command using the agent 130 installed in the attack target to perform the privilege elevation process, and then when the attack target installed with the agent 130 is neutralized according to the attack command, the attack target Check the elevation of access to .

공격 서버(120)는 권한상승 과정을 수행하기 위해, 에이전트(130)를 이용하여 에이전트(130)가 설치된 공격대상의 웹 소스, 설정파일, 일반 텍스트 파일로부터 기 저장된 계정정보를 추출한다. 공격 서버(120)는 에이전트(130)를 이용하여 CVE(Common Vulnerabilities and Exposures)를 기반으로 로컬 권한상승 취약점 공격을 수행한다. 공격 서버(120)는 에이전트(130)를 이용하여 무차별 대입 공격(Brute-Force)으로 유추 가능 계정에 대한 무작위 대입공격을 수행한다. 공격 서버(120)는 에이전트(130)를 이용하여 키로거(Key-Logger)에 의한 계정 정보를 수집한 후 주기적으로 모니터링한다. 공격 서버(120)는 로컬 권한상승 취약점 공격, 무작위 대입공격으로 에이전트(130)가 설치된 공격대상을 무력화한다.The attack server 120 extracts pre-stored account information from a web source, a setting file, and a plain text file of an attack target on which the agent 130 is installed by using the agent 130 to perform a privilege elevation process. The attack server 120 uses the agent 130 to perform a local privilege elevation vulnerability attack based on Common Vulnerabilities and Exposures (CVE). The attack server 120 performs a brute force attack on the account that can be inferred by using the agent 130 as a brute-force attack. The attack server 120 collects account information by a key-logger using the agent 130 and then periodically monitors it. The attack server 120 neutralizes the attack target in which the agent 130 is installed by a local privilege elevation vulnerability attack or brute force attack.

공격 서버(120)는 공격대상에 설치된 에이전트(130)로 공격명령을 전송한 후 공격명령에 따라 에이전트(130)가 설치된 공격대상이 무력화될 때, 에이전트(130)로 주요정보 수집명령을 전송하며, 에이전트(130)로부터 주요정보 수집명령에 대응하는 주요정보를 수집하는 내부정찰 과정을 수행한다.The attack server 120 transmits an attack command to the agent 130 installed in the attack target, and then transmits a main information collection command to the agent 130 when the attack target installed with the agent 130 is neutralized according to the attack command. , an internal reconnaissance process of collecting main information corresponding to the main information collection command from the agent 130 is performed.

공격 서버(120)는 내부정찰 과정을 수행하기 위해, 공격대상으로 접근하는 권한 상승이 확인되면, 공격대상에 대해 관리자(Admin) 권한 단위 공격을 수행한다. 공격 서버(120)는 공격대상으로 접근하는 권한 상승이 미확인되면, 사용자(User) 권한 단위 공격을 수행한다. 공격 서버(120)는 제2 보안 우회로 에이전트로 상기 실행 명령이 미전송되거나 일반 경로로 악성 코드 공격이 가능한 경우, 악성코드 기반으로 호스트 레벨을 단위 공격을 수행한다. 공격 서버(120)는 공격대상에 대해 스캔이 불가하거나, 기타 경로로 접근이 불가하거나, 일반 경로로 악성 코드 공격이 불가한 경우, 서드파티 프로그램을 이용하여 기타 공격을 수행한다.In order to perform the internal reconnaissance process, the attack server 120 performs an administrator (Admin) authority unit attack on the attack target when it is confirmed that access to the attack target is elevated. The attack server 120 performs an attack in units of user (User) authority when the elevation of access to the attack target is not confirmed. When the execution command is not transmitted to the second security bypass agent or a malicious code attack is possible through a general path, the attack server 120 performs a host-level unit attack based on the malicious code. The attack server 120 performs other attacks using a third-party program when it is impossible to scan an attack target, access to another path, or a normal path to attack a malicious code.

공격 서버(120)는 내부정찰 과정을 수행하기 위해, 관리자 권한 단위 공격, 사용자 권한 단위 공격, 호스트 레벨을 단위 공격, 기타 공격이 성공하여 에이전트가 설치된 공격대상이 무력화될 때, 에이전트(130)로 주요정보 수집명령을 전송한다.In order to perform the internal reconnaissance process, the attack server 120 returns to the agent 130 when the attack target in which the agent is installed is incapacitated due to the success of an administrator-privileged unit attack, a user-privileged unit attack, a host-level unit attack, and other attacks to perform the internal reconnaissance process. Sends a command to collect important information.

공격 서버(120)는 내부정찰 과정을 수행하기 위해, 에이전트(130)를 이용하여 인접한 에이전트로 공격명령을 전송한 후 공격명령에 따라 인접한 에이전트가 설치된 공격대상이 무력화될 때, 에이전트 및 인접한 에이전트로 주요정보 수집명령을 전송한다.The attack server 120 transmits an attack command to the adjacent agent using the agent 130 to perform the internal reconnaissance process, and then, when the attack target installed with the adjacent agent is neutralized according to the attack command, to the agent and the adjacent agent. Sends a command to collect important information.

공격 서버(120)는 내부정찰 과정을 수행하기 위해, 에이전트(130)를 이용하여 에이전트(130)가 설치된 공격대상(서버 또는 단말기) 내 중요정보(계정, 설정, 대외비 정보 등)를 수집하기 위해 외망 네트워크를 스캔하도록 하여 에이전트(130)로부터 주요정보를 수집한다. 공격 서버(120)는 주요정보를 기반으로 에이전트(130)와 인접한 에이전트를 확인한다. 공격 서버(120)는 주요정보를 기반으로 인접한 에이전트로 전이공격을 수행한다. 공격 서버(120)는 인접한 에이전트로 전이공격이 성공하면 인접한 에이전트로 추가 에이전트가 다운로드되도록 한다. 이후 공격 서버(120)는 추가 에이전트를 실행하도록 하는 추가 실행 명령을 인접한 에이전트가 설치된 공격대상으로 전송한다.The attack server 120 collects important information (accounts, settings, confidential information, etc.) in the attack target (server or terminal) where the agent 130 is installed by using the agent 130 to perform the internal reconnaissance process. By scanning the external network, key information is collected from the agent 130 . The attack server 120 identifies the agent 130 and the adjacent agent based on the main information. The attack server 120 performs a transfer attack to an adjacent agent based on the main information. The attack server 120 causes an additional agent to be downloaded to the adjacent agent when the transfer attack to the adjacent agent is successful. Thereafter, the attack server 120 transmits an additional execution command for executing the additional agent to the attack target in which the adjacent agent is installed.

공격 서버(120)는 주요정보를 외부로 탈취하고, 공격대상에 설치된 에이전트(130)를 이용하여 중요정보 탈취 흔적을 제거하도록 하는 목적달성 과정을 수행한다.The attack server 120 seizes the main information to the outside and performs the purpose of achieving the purpose of removing traces of the stealing of the important information by using the agent 130 installed in the attack target.

공격 서버(120)는 목적달성 과정을 수행하기 위해, 에이전트(130)가 주요 정보를 수집한 후 에이전트(130)가 설치된 공격대상에 대해 로그(Log) 삭제, 프로세스 생성, 백도어(Backdoor), 키로거(Key-Logger), MBR(Master Boot Record) 파괴, 캡쳐, 압축 중 적어도 하나 이상을 수행하도록 한다.The attack server 120 deletes a log for an attack target on which the agent 130 is installed after the agent 130 collects main information, creates a process, creates a backdoor, and a keylogger in order to perform the purpose achievement process. At least one of (Key-Logger), MBR (Master Boot Record) destruction, capture, and compression is performed.

공격 서버(120)는 목적달성 과정을 수행하기 위해, 에이전트(130) 및 인접한 에이전트로부터 수집된 주요 정보를 암호화한 후 은닉채널 또는 암호화 통신을 이용하여 외부로 탈취한다. 공격 서버(120)는 에이전트(130) 및 인접한 에이전트를 이용하여 로그인 흔적 제거, 이벤트 로그 제거, 공격에 사용한 모듈 제거, 에이전트 자가삭제를 수행하도록 한다. 공격 서버(120)는 에이전트(130) 및 인접한 에이전트를 이용하여 공격대상에 대한 주요정보 탈취 화면, 흔적제거 화면을 캡쳐하도록 하여 전송하도록 한다. 공격 서버(120)는 흔적제거를 위해 캡쳐된 파일을 삭제하도록 한다.The attack server 120 encrypts the main information collected from the agent 130 and the adjacent agent in order to perform the purpose achievement process, and then steals it to the outside using a secret channel or encrypted communication. The attack server 120 uses the agent 130 and an adjacent agent to remove login traces, remove event logs, remove modules used for attack, and perform agent self-deletion. The attack server 120 uses the agent 130 and an adjacent agent to capture and transmit the main information stealing screen and trace removal screen for the attack target. The attack server 120 deletes the captured file for trace removal.

공격 서버(120)는 공격자 단말기(110)로부터 수신된 공격명령에 따라 복수의 시나리오(예컨대, 시나리오1 내지 시나리오5)를 기반으로 공격대상을 공격한다.The attack server 120 attacks an attack target based on a plurality of scenarios (eg, scenarios 1 to 5) according to an attack command received from the attacker terminal 110 .

공격 서버(120)는 시나리오1로 공격대상을 공격한다.The attack server 120 attacks an attack target in Scenario 1.

① 공격 서버(120)는 공격대상의 USB, 메일(Mail) 등을 이용하여 특정 확장자를 가진 파일(예컨대, Hwp)의 악성코드를 감염시킨다. ② 공격 서버(120)는 공격대상에서 악성코드를 실행하면 추가 프로세스를 생성한다. ③ 공격 서버(120)는 공격대상을 기반으로 추가 호스트(Host) 감염 및 전이공격을 수행한다. ④ 공격 서버(120)는 공격대상으로부터 키-로깅을 이용하여 사용자 정보를 수집한다. ⑤ 공격 서버(120)는 공격대상에 설치된 에이전트(130)가 수행할 수 있는 모든 행위를 수행한다. ⑥ 공격 서버(120)는 공격대상에 흔적을 제거하고 외부로 유출한다.① The attack server 120 infects a malicious code of a file (eg, Hwp) with a specific extension using an attack target's USB, mail, or the like. ② The attack server 120 creates an additional process when the malicious code is executed on the attack target. ③ The attack server 120 performs additional host infection and transfer attack based on the attack target. ④ The attack server 120 collects user information from the attack target by using key-logging. ⑤ The attack server 120 performs all actions that the agent 130 installed on the attack target can perform. ⑥ The attack server 120 removes traces from the attack target and leaks it to the outside.

공격 서버(120)는 시나리오2로 공격대상을 공격한다.The attack server 120 attacks an attack target in scenario 2 .

① 공격 서버(120)는 서드파티(3rd-P) 키보드보안솔루션에 악성코드를 감염 시킨다. ② 공격 서버(120)는 인터넷 링크(Link)를 이용하여 공격대상에 키보드보안솔루션이 다운되도록 한다. ③ 공격 서버(120)는 공격대상이 되는 호스트(Host)에 악성코드를 감염시킨다. ④ 공격 서버(120)는 추가 호스트(Host) 감염 및 전이공격을 수행한다. ⑤ 공격 서버(120)는 공격대상의 시스템 정보 및 네트워크(NIC: Network Interface Controller) 정보를 확인한다. ⑥ 공격 서버(120)는 공격대상이 되는 서버 내 파일 업로드 및 다운로드를 실행한다. ⑦ 공격 서버(120)는 공격대상의 흔적을 제거하고 외부로 유출한다.① The attack server 120 infects a third-party (3rd-P) keyboard security solution with malicious code. ② The attack server 120 causes the keyboard security solution to be down to the attack target by using an Internet link. ③ The attack server 120 infects a host to be attacked with malicious code. ④ The attack server 120 performs additional host infection and transfer attack. ⑤ The attack server 120 checks the system information and network (NIC: Network Interface Controller) information of the attack target. ⑥ The attack server 120 executes file upload and download in the server to be attacked. ⑦ The attack server 120 removes the trace of the attack target and leaks it to the outside.

공격 서버(120)는 시나리오3으로 공격대상을 공격한다.The attack server 120 attacks an attack target in scenario 3 .

① 공격 서버(120)는 시나리오1 또는 시나리오2를 이용하여 공격대상의 내부에 악성코드를 감염시킨다. ② 공격 서버(120)는 공격대상인 호스트(Host)로부터 AV(Anti-Virus) 정보를 획득한다. ③ 공격 서버(120)는 AV 정보를 기반으로 공격대상인 호스트의 패치가 안된 AV(Vi-robot) 특정 버전을 공격한다. ④ 공격 서버(120)는 공격대상인 호스트에 추가 프로세스를 실행한다. ⑤ 공격 서버(120)는 공격대상인 호스트로부터 사용자 정보 및 중요 정보를 획득한다. ⑥ 공격 서버(120)는 공격대상의 흔적을 제거하고 외부로 유출한다.① The attack server 120 infects a malicious code inside an attack target by using the scenario 1 or scenario 2. ② The attack server 120 acquires AV (Anti-Virus) information from a host that is an attack target. ③ The attack server 120 attacks the unpatched AV (Vi-robot) specific version of the target host based on the AV information. ④ The attack server 120 executes an additional process on the attack target host. ⑤ The attack server 120 acquires user information and important information from a host that is an attack target. ⑥ The attack server 120 removes the trace of the attack target and leaks it to the outside.

공격 서버(120)는 시나리오4로 공격대상을 공격한다.The attack server 120 attacks an attack target in Scenario 4.

① 공격 서버(120)는 시나리오1 또는 시나리오2를 이용하여 공격대상의 내부에 악성코드를 감염시킨다. ② 공격 서버(120)는 공격대상인 호스트(Host)로부터 AV(Anti-Virus) 정보를 획득한다. ③ 공격 서버(120)는 AV 정보를 기반으로 공격대상인 호스트의 패치가 안된 AV(Vi-robot) 특정 버전을 공격한다. ④ 공격 서버(120)는 공격대상인 호스트에 추가 프로세스를 실행한다. ⑤ 공격 서버(120)는 네트워크 터널링을 이용하여 호스트의 방화벽을 우회한다. ⑥ 공격 서버(120)는 공격대상인 호스트로부터 사용자 정보 및 중요 정보를 획득한다. ⑦ 공격 서버(120)는 공격대상의 흔적을 제거하고 외부로 유출한다.① The attack server 120 infects a malicious code inside an attack target by using the scenario 1 or scenario 2. ② The attack server 120 acquires AV (Anti-Virus) information from a host that is an attack target. ③ The attack server 120 attacks the unpatched AV (Vi-robot) specific version of the target host based on the AV information. ④ The attack server 120 executes an additional process on the attack target host. ⑤ The attack server 120 bypasses the firewall of the host by using network tunneling. ⑥ The attack server 120 acquires user information and important information from a host that is an attack target. ⑦ The attack server 120 removes the trace of the attack target and leaks it to the outside.

공격 서버(120)는 시나리오5로 공격대상을 공격한다.The attack server 120 attacks an attack target in scenario 5.

① 공격 서버(120)는 시나리오1 또는 시나리오2를 이용하여 공격대상의 내부에 악성코드를 감염시킨다. ② 공격 서버(120)는 공격대상인 호스트의 내부 네트워크(NIC: Network Interface Controller) 정보를 확인한다. ③ 공격 서버(120)는 망분리 단말기에 악성코드를 추가로 감염시키고, 원격제어를 수행한다. ④ 공격 서버(120)는 내부망 AV 서버의 관리자페이지 내 악성 파일을 업로드한다. ⑤ 공격 서버(120)는 공격대상의 흔적을 제거하고 외부로 유출한다.① The attack server 120 infects a malicious code inside an attack target by using the scenario 1 or scenario 2. ② The attack server 120 checks the internal network (NIC: Network Interface Controller) information of the target host. ③ The attack server 120 additionally infects the network separation terminal with malicious code and performs remote control. ④ The attack server 120 uploads a malicious file in the management page of the internal network AV server. ⑤ The attack server 120 removes the trace of the attack target and leaks it to the outside.

에이전트(130)는 공격대상(서버 또는 단말기)에 다운로드 되는 형태로 설치되어 공격 서버(120)와 리버스 커넥션으로 연결된다. 에이전트(130)는 공격대상(서버 또는 단말기)에 공격을 수행하여 공격대상을 무력화시키며, 공격대상이 무력화될 때 공격대상에 대한 주요정보를 수집하여 공격 서버(120)로 전송한다. The agent 130 is installed in the form of being downloaded to the attack target (server or terminal) and is connected to the attack server 120 through a reverse connection. The agent 130 neutralizes the attack target by performing an attack on the target (server or terminal), and when the target is neutralized, it collects main information on the target and transmits it to the attack server 120 .

도 2는 본 실시예에 따른 사이버 공격 시뮬레이션 제공 방법을 설명하기 위한 순서도이다.2 is a flowchart illustrating a method for providing a cyber attack simulation according to the present embodiment.

공격자 단말기(110)는 공격대상을 선정하기 위한 제어 명령을 공격 서버(120)로 전송한다. 공격자 단말기(110)는 서비스 식별, 검색 엔진, 서브도메인에 대한 정보수집을 위한 제어 명령을 공격 서버(120)로 전송한다.The attacker terminal 110 transmits a control command for selecting an attack target to the attack server 120 . The attacker terminal 110 transmits a control command for service identification, search engine, and information collection for the subdomain to the attack server 120 .

공격 서버(120)는 공격자 단말기(110)로부터 대상 설정 또는 정보 수집을 위한 제어 명령을 수신한다. 공격 서버(120)는 외부망에서 공격대상을 선별한 후 외부에 공개된 정보(OSINT(Open Source INTelligence), 크롤링(Crawling), 다크웹(DarkWeb) 등)가 수집되는 지의 여부를 확인한다(S210).The attack server 120 receives a control command for target setting or information collection from the attacker terminal 110 . The attack server 120 selects an attack target from the external network and then checks whether information disclosed to the outside (OSINT (Open Source Intelligence), Crawling, Dark Web, etc.) is collected (S210) ).

단계 S210의 확인 결과, 외부에 공개된 정보가 미수집되는 경우, 공격 서버(120)는 내부 정보가 수집(내부 스캔)되는 지의 여부를 확인한다(S212).As a result of checking in step S210, when the information disclosed to the outside is not collected, the attack server 120 checks whether or not internal information is collected (internal scan) (S212).

단계 S210의 확인 결과, 외부에 공개된 정보가 수집되거나, 단계 S212의 확인 결과, 내부 정보가 수집(내부 스캔)되는 경우, 공격 서버(120)는 공격대상에 대한 취약점(Web, App) 기반 접근이 가능한지의 여부를 확인한다(S214).As a result of the confirmation of step S210, when the externally disclosed information is collected, or as a result of the confirmation of step S212, when internal information is collected (internal scan), the attack server 120 accesses the attack target based on vulnerability (Web, App) It is checked whether this is possible (S214).

단계 S214의 확인 결과, 공격대상에 대한 취약점(Web, App) 기반 접근이 불가능한 경우, 공격 서버(120)는 공격대상으로 일반 경로에 접근이 가능한지의 여부를 확인한다(S216).As a result of checking in step S214, if the vulnerability (Web, App)-based access to the attack target is not possible, the attack server 120 checks whether access to the general path as the attack target is possible (S216).

단계 S216의 확인 결과, 공격대상으로 일반 경로에 접근이 불가능한 경우, 공격 서버(120)는 공격대상으로 기타 경로 접근이 가능한지의 여부를 확인한다(S218).As a result of the check in step S216, if it is impossible to access the general path as the attack target, the attack server 120 checks whether access to the other path as the attack target is possible (S218).

단계 S214의 확인 결과, 공격대상에 대한 취약점(Web, App) 기반 접근이 가능한 경우, 공격 서버(120)는 취약점에 대한 익스플로잇 공격(Exploit)이 가능한지의 여부를 확인한다(S220).As a result of checking in step S214, if a vulnerability (Web, App)-based access to the attack target is possible, the attack server 120 checks whether an exploit attack for the vulnerability is possible (S220).

단계 S220의 확인 결과, 취약점에 대한 익스플로잇 공격(Exploit)이 불가능하거나 단계 S214의 확인 결과, 공격대상에 대한 취약점(Web, App) 기반 접근이 불가능한 경우, 공격 서버(120)는 공격대상에 대한 보안 우회가 가능한지의 여부를 확인한다(S222).As a result of the verification of step S220, if an exploit attack for the vulnerability is not possible or as a result of the verification of step S214, if the vulnerability (Web, App)-based access to the target is not possible, the attack server 120 provides security for the target. It is checked whether the detour is possible (S222).

단계 S218의 확인결과, 공격대상으로 기타 경로 접근이 가능한 경우, 공격 서버(120)는 기타 경로로 악성 코드 유포가 가능한지의 여부를 확인한다(S224).As a result of the check in step S218, if the attack target can be accessed through other paths, the attack server 120 checks whether malicious code can be distributed through other paths (S224).

단계 S220의 확인 결과, 취약점에 대한 익스플로잇 공격(Exploit)이 가능하거나 단계 S222의 확인 결과, 공격대상에 대한 보안 우회가 가능하거나 단계 S216의 확인 결과, 공격대상으로 일반 경로에 접근이 가능한 경우, 공격 서버(120)는 공격대상에 설치된 에이전트(130)로 연결이 가능한지의 여부를 확인한다(S226).If, as a result of the verification of step S220, an exploit attack on the vulnerability is possible, or as a result of the verification of step S222, a security bypass to the target is possible, or as a result of the verification of step S216, if the general path is accessible as an attack target, the attack The server 120 checks whether it is possible to connect to the agent 130 installed in the attack target (S226).

단계 S226의 확인 결과, 공격대상에 설치된 에이전트(130)로 연결이 불가능한 경우, 공격 서버(120)는 공격대상에 대한 보안 우회가 가능한지의 여부를 확인한다(S228).As a result of checking in step S226, if the connection to the agent 130 installed in the attack target is not possible, the attack server 120 checks whether a security bypass for the attack target is possible (S228).

단계 S226의 확인 결과, 공격대상에 설치된 에이전트(130)로 연결이 가능한 경우, 공격 서버(120)는 공격대상에 대한 권한상승이 가능한지의 여부를 확인한다(S230). As a result of the check in step S226, if it is possible to connect to the agent 130 installed in the attack target, the attack server 120 checks whether it is possible to elevate the authority to the attack target (S230).

단계 S230의 확인 결과, 공격대상에 대한 권한상승이 가능한 경우, 공격 서버(120)는 관리자(Admin) 권한 단위 공격을 수행한다(S232). 단계 S230의 확인 결과, 공격대상에 대한 권한상승이 불가능한 경우, 공격 서버(120)는 사용자(User) 권한 단위 공격을 수행한다(S234).As a result of the check in step S230, if it is possible to raise the authority to the attack target, the attack server 120 performs an Admin authority unit attack (S232). As a result of the check in step S230, if it is impossible to raise the authority to the attack target, the attack server 120 performs a user authority unit attack (S234).

단계 S228의 확인 결과, 공격대상에 대한 보안 우회가 불가능하거나 단계 S224의 확인 결과, 기타 경로로 악성 코드 유포가 가능한 경우, 공격 서버(120)는 악성코드 기반으로 호스트 레벨을 단위 공격한다(S236).As a result of the verification in step S228, if the security bypass to the attack target is impossible or as a result of checking in step S224, malicious code distribution is possible through other routes, the attack server 120 performs a unit attack on the host level based on the malicious code (S236) .

단계 S224의 확인 결과, 기타 경로로 악성 코드 유포가 불가능하거나 단계 S218의 확인 결과, 공격대상으로 기타 경로 접근이 불가능하거나 단계 S212의 확인 결과, 내부 정보가 미수집(내부 스캔)되는 경우, 공격 서버(120)는 서드파티(3rd-p)를 이용한 기타 공격을 수행한다(S238).If, as a result of checking in step S224, it is impossible to distribute the malicious code through other routes, or if, as a result of checking in step S218, access to other routes as an attack target is not possible, or as a result of checking in step S212, internal information is not collected (internal scan), the attack server 120 performs another attack using a third party (3rd-p) (S238).

공격 서버(120)는 단계 S232, S234, S236, S238을 수행한 후 공격대상에 설치된 에이전트(130)로 내부정보 수집 및 정찰을 요청한다(S240). 공격 서버(120)는 공격대상에 설치된 에이전트(130)로부터 내부정보를 수집 및 정찰한 정보(Log 삭제, 프로세스 생성, 백도어(Backdoor), 키로거(Key-Logger), MBR(Master Boot Record) 파괴, 캡쳐/압축/전송)를 수신한다(S242).After performing steps S232, S234, S236, and S238, the attack server 120 requests the agent 130 installed in the attack target to collect internal information and reconnaissance (S240). The attack server 120 collects internal information from the agent 130 installed in the attack target and reconnaissance information (log deletion, process creation, backdoor, key-logger, MBR (Master Boot Record) destruction, capture/compression/transmission) is received (S242).

도 2에서는 단계 S210 내지 단계 S242를 순차적으로 실행하는 것으로 기재하고 있으나, 반드시 이에 한정되는 것은 아니다. 다시 말해, 도 2에 기재된 단계를 변경하여 실행하거나 하나 이상의 단계를 병렬적으로 실행하는 것으로 적용 가능할 것이므로, 도 2는 시계열적인 순서로 한정되는 것은 아니다.Although it is described that steps S210 to S242 are sequentially executed in FIG. 2 , the present invention is not limited thereto. In other words, since it may be applicable by changing and executing the steps described in FIG. 2 or executing one or more steps in parallel, FIG. 2 is not limited to a time-series order.

전술한 바와 같이 도 2에 기재된 본 실시예에 따른 사이버 공격 시뮬레이션 제공 방법은 프로그램으로 구현되고 컴퓨터로 읽을 수 있는 기록매체에 기록될 수 있다. 본 실시예에 따른 사이버 공격 시뮬레이션 제공 방법을 구현하기 위한 프로그램이 기록되고 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. As described above, the cyber attack simulation providing method according to the present embodiment described in FIG. 2 may be implemented as a program and recorded in a computer-readable recording medium. A computer-readable recording medium in which a program for implementing the method for providing a cyber attack simulation according to the present embodiment is recorded includes all types of recording devices in which data readable by a computer system is stored.

도 3은 본 실시예에 따른 사이버 공격 시뮬레이션 기능 정의를 설명하기 위한 도면이다.3 is a diagram for explaining the definition of a cyber attack simulation function according to the present embodiment.

공격자 단말기(110)는 공격 서버(120)와 연결되어 제어 명령을 전송한다. 공격 서버(120)는 제어 명령을 기반으로 공격대상을 선정하고, 공격대상에 에이전트(130)를 설치한다. 공격 서버(120)는 공격대상에 에이전트(130)를 기반으로 공격을 수행한다.The attacker terminal 110 is connected to the attack server 120 to transmit a control command. The attack server 120 selects an attack target based on the control command, and installs the agent 130 in the attack target. The attack server 120 performs an attack on the attack target based on the agent 130 .

공격자 단말기(110)는 공격자가 전체 상황 지휘 및 제어를 목적으로 실행하는 프로그램을 탑재한다. 공격자 단말기(110)는 공격 서버(120)와 지속적인 통신하면서 싱크(Sync)를 일치시킨다. 공격자 단말기(110)는 GUI 환경으로 전체적인 공격현황 확인(Dash Board 역할)한다. 공격자 단말기(110)는 에이전트(130)가 설치된 서버 아이콘을 선택한 후 명령 및 정보 조회를 요청한다.The attacker terminal 110 is loaded with a program that the attacker executes for the purpose of commanding and controlling the entire situation. The attacker terminal 110 synchronizes the sync while continuously communicating with the attack server 120 . The attacker terminal 110 checks the overall attack status (Dash Board role) in a GUI environment. The attacker terminal 110 selects the icon of the server in which the agent 130 is installed and then requests a command and information inquiry.

공격 서버(120)는 AI 프레임워크와 연동한다. 공격 서버(120)는 공격자 단말기(110)에서 공격 행위에 대한 명령을 전달받고 수행한다. 공격 서버(120)는 공격에 필요한 다양한 모듈(Stand Alone)로 구성된다. 공격 서버(120)는 모든 액션 이벤트(Action Event)(공격 서버(120)/에이전트(130))에 대한 로그를 저장한다. 공격 서버(120)는 공격 성공(권한획득) 후 설치하는 에이전트(130)를 생성 및 배포한다. 공격 서버(120)는 VPN, Socks, SSH 등 터널링 서버를 지원한다. 공격 서버(120)는 공격자 단말기(110)와 통신하는 메인 프레임(암호화된 통신)을 포함한다.The attack server 120 works with the AI framework. The attack server 120 receives and executes a command for an attack action from the attacker terminal 110 . The attack server 120 is composed of various modules (Stand Alone) required for the attack. The attack server 120 stores logs for all action events (attack server 120/agent 130). The attack server 120 creates and distributes the agent 130 to be installed after successful attack (authorization acquisition). The attack server 120 supports tunneling servers such as VPN, Socks, and SSH. The attack server 120 includes a main frame (encrypted communication) that communicates with the attacker terminal 110 .

공격 서버(120)는 에이전트(130)를 최초로 설치하기 위해 필요한 제1 공격 모듈(Stage1)을 포함한다. 공격 서버(120)는 제1 공격 모듈(Stage1)을 이용하여 정보수집 및 최초공격을 시도한다. 공격 서버(120)는 포트스캔, 브르트포스, 구글해킹 등을 이용하여 정보수집을 수행한다. 공격 서버(120)는 WEB, FTP, SSH, SMB, TELNET, RDP, VNC 등에 대한 최초공격을 수행한다.The attack server 120 includes a first attack module (Stage1) required to install the agent 130 for the first time. The attack server 120 attempts to collect information and first attack by using the first attack module Stage1. The attack server 120 collects information using port scan, Brute force, Google hacking, and the like. The attack server 120 performs an initial attack on WEB, FTP, SSH, SMB, TELNET, RDP, VNC, and the like.

공격 서버(120)는 설치된 에이전트(130)를 이용하여 수행할 수 있는 제2 공격 모듈(Stage2)을 포함한다. 공격 서버(120)는 제2 공격 모듈(Stage2)을 이용하여 제1 공격 모듈(Stage1)과 공격, 피봇팅 관련(Post Exploitation) 동작을 수행한다.The attack server 120 includes a second attack module Stage2 that can be performed using the installed agent 130 . The attack server 120 performs an attack and pivoting-related (Post Exploitation) operation with the first attack module Stage1 by using the second attack module Stage2.

공격 서버(120)는 제1 공격 모듈(Stage1), 제2 공격 모듈(Stage2)을 추가 또는 수정하는 관리부(Manager)를 포함한다.The attack server 120 includes a manager for adding or modifying a first attack module (Stage1) and a second attack module (Stage2).

공격 서버(120)는 공격대상에 대한 공격 성공 후 설치되는 에이전트(130)를 포함한다. 공격 서버(120)는 에이전트(130)에 대한 Windows/Linux 환경에 맞게 실행되는 바이너리(Windows PE Executable, Windows DLL, Linux Binary, Linux Shared Object, Python Script 등)의 생성 및 수정한다.The attack server 120 includes an agent 130 that is installed after a successful attack on the target. The attack server 120 creates and modifies binaries (Windows PE Executable, Windows DLL, Linux Binary, Linux Shared Object, Python Script, etc.) that are executed according to the Windows/Linux environment for the agent 130 .

공격 서버(120)는 로그 기반 리포팅을 수행한다. 공격 서버(120)는 특정 호스트 공격 결과에 대한 타임라인 기반의 리포트를 생성한다. 공격 서버(120)는 수행 되거나 선택된 공격의 흐름(공격 트리)을 리포트로 제공한다.The attack server 120 performs log-based reporting. The attack server 120 generates a timeline-based report on a specific host attack result. The attack server 120 provides the flow (attack tree) of the performed or selected attack as a report.

에이전트(130)는 공격 서버(120)와 통신(암호화된 통신)하는 클라이언트를 포함한다. 에이전트(130)는 공격을 통해 권한이 획득되면 서버(HOST) 또는 단말기(PC)에 설치되는 바이너리(Windows, Linux)를 포함한다. 에이전트(130)는 공격 서버(120)의 공격을 수행하는 명령어 해석기 역할을 수행한다. 에이전트(130)는 다양한 네트워크 피버팅(Network Pivoting) 기능 및 자가삭제 기능을 지원한다.The agent 130 includes a client that communicates with the attack server 120 (encrypted communication). The agent 130 includes binaries (Windows, Linux) that are installed on a server (HOST) or a terminal (PC) when authority is obtained through an attack. The agent 130 serves as a command interpreter performing an attack of the attack server 120 . The agent 130 supports various network pivoting functions and self-deleting functions.

에이전트(130)는 공격대상인 서버(HOST) 또는 단말기(PC)에 설치되어 시스템 정보를 수집한다. 에이전트(130)는 기본적인 시스템 정보 확인 기능을 지원하고, 시스템 기본정보(호스트명, IP, 사용자명, 운영체제 정보, 시스템 사양, 권한 등등)를 수집한다.The agent 130 is installed in a server (HOST) or a terminal (PC) that is an attack target to collect system information. The agent 130 supports a basic system information confirmation function, and collects system basic information (host name, IP, user name, operating system information, system specifications, authority, etc.).

에이전트(130)는 공격대상인 서버(HOST) 또는 단말기(PC)에 설치되어 현재 실행중인 프로세스 및 설치된 프로그램을 확인한다. 에이전트(130)는 공격대상인 서버(HOST) 또는 단말기(PC)에 설치되어 리눅스/윈도우에 설치된 프로그램/프로세스 확인, 써드파티(3rd-party) 프로그램 취약점 확인하고, 백신의 정보를 확인한다.The agent 130 is installed in a server (HOST) or a terminal (PC), which is an attack target, and checks the currently running process and installed program. The agent 130 is installed on a server (HOST) or a terminal (PC), which is an attack target, checks programs/processes installed in Linux/Windows, checks third-party program vulnerabilities, and checks information on vaccines.

에이전트(130)는 공격대상인 서버(HOST) 또는 단말기(PC)에 설치되어 현재 실행중인 서비스 확인하고, 윈도우 서비스를 확인한다. 에이전트(130)는 공격대상인 서버(HOST) 또는 단말기(PC)에 설치되어 네트워크(NIC) 정보 확인하고, 네트워크 망 대역을 확인한다. 에이전트(130)는 공격대상인 서버(HOST) 또는 단말기(PC)에 설치되어 타일 탐색기를 수행한다. 에이전트(130)는 파일 탐색기의 파일 탐색 메뉴를 이용하여 서버 내 파일을 탐색하고, 파일의 업로드, 다운로드, 실행, 수정, 생성을 수행한다.The agent 130 is installed on a server (HOST) or a terminal (PC), which is an attack target, and checks the currently running service, and checks the window service. The agent 130 is installed in a server (HOST) or a terminal (PC), which is an attack target, to check network (NIC) information, and to check a network band. The agent 130 is installed in a server (HOST) or a terminal (PC), which is an attack target, and performs a tile explorer. The agent 130 searches for a file in the server using the file search menu of the file explorer, and uploads, downloads, executes, modifies, and creates the file.

에이전트(130)는 공격대상인 서버(HOST) 또는 단말기(PC)에 설치되어 화면캡쳐를 수행한다. 에이전트(130)는 화면캡쳐 기능을 이용하여 현재 로그온 상태의 화면 캡쳐하거나 화면캡쳐를 통한 정보 수집(예컨대, 바탕화면 스티커노트 등에 기록된 계정 정보 등)한다.The agent 130 is installed in a server (HOST) or a terminal (PC), which is an attack target, and performs a screen capture. The agent 130 captures the screen of the current logon state using the screen capture function or collects information through the screen capture (eg, account information recorded on the desktop sticker note, etc.).

에이전트(130)는 공격대상인 서버(HOST) 또는 단말기(PC)에 설치되어 키-로깅을 수행한다. 에이전트(130)는 키-로깅 기능을 이용하여 키 입력 내용 로컬에 저장하거나 키-로깅을 이용한 정보를 수집한다.The agent 130 is installed in a server (HOST) or a terminal (PC) that is an attack target and performs key-logging. The agent 130 stores key input contents locally using a key-logging function or collects information using key-logging.

에이전트(130)는 공격대상인 서버(HOST) 또는 단말기(PC)에 설치되어 원격제어를 수행한다. 에이전트(130)는 원격제어 기능을 이용하여 VNC(Virtual Network Computing)와 유사한 방식으로 원격제어를 수행한다. 에이전트(130)는 원격제어 기능을 이용하여 실시간 화면 캡쳐 또는 화면캡쳐 후 마우스 포인터 좌표값을 이용한다.The agent 130 is installed in a server (HOST) or a terminal (PC) that is an attack target to perform remote control. The agent 130 performs remote control in a manner similar to Virtual Network Computing (VNC) using a remote control function. The agent 130 uses a remote control function to capture a real-time screen or use a mouse pointer coordinate value after a screen capture.

에이전트(130)는 공격대상인 서버(HOST) 또는 단말기(PC)에 설치되어 쉘 기능을 지원한다. 에이전트(130)는 쉘 기능을 이용하여 쉘 커맨드 명령어를 실행시키거나 윈도우/리눅스 기본 쉘 명령어를 사용한다. The agent 130 is installed on a server (HOST) or a terminal (PC) that is an attack target to support a shell function. The agent 130 executes a shell command command using a shell function or uses a Windows/Linux basic shell command.

에이전트(130)는 공격대상인 서버(HOST) 또는 단말기(PC)에 설치되어 네트워크 릴레이 기능을 수행한다. 에이전트(130)는 네트워크 릴레이 기능을 이용하여 터널링을 수행하며, 포트포워딩, Socks, SSH, VPN, HTTP를 지원한다.The agent 130 is installed in a server (HOST) or a terminal (PC) that is an attack target and performs a network relay function. The agent 130 performs tunneling using a network relay function, and supports port forwarding, Socks, SSH, VPN, and HTTP.

에이전트(130)는 공격대상인 서버(HOST) 또는 단말기(PC)에 설치되어, 서버에 등록된 계정정보(패스워드)를 획득하거나 사용자명을 수집하고, Mimikatz, Wce 등을 이용하여 패스워드/해시를 수집한다.The agent 130 is installed on the server (HOST) or terminal (PC) that is the target of the attack, obtains account information (password) registered in the server, or collects a user name, and collects password/hash using Mimikatz, Wce, etc. do.

에이전트(130)는 공격대상인 서버(HOST) 또는 단말기(PC)에 설치되어, 전이공격을 위한 브라우저 패스워드, 저장된 Wi-Fi 암호, 아웃룩(Outlook) 계정정보 등을 수집한다.The agent 130 is installed on a server (HOST) or a terminal (PC), which is an attack target, and collects browser passwords, stored Wi-Fi passwords, and Outlook account information for transfer attack.

에이전트(130)는 공격대상인 서버(HOST) 또는 단말기(PC)에 설치되어, 레지스트리 탐색기를 이용하여 정보를 수집한다. 에이전트(130)는 레지스트리에 등록된 네트워크/계정 정보 등을 확인한다.The agent 130 is installed in a server (HOST) or a terminal (PC) that is an attack target, and collects information using a registry explorer. The agent 130 checks network/account information registered in the registry.

도 4는 본 실시예에 따른 침투 전 정보 수집 및 정찰 수행 단계를 설명하기 위한 도면이다.4 is a view for explaining the steps of collecting information and performing reconnaissance before infiltration according to the present embodiment.

공격자 단말기(110)는 공격 서버(120)로 공격대상 정보를 전송한다. 공격 서버(120)는 외부망으로부터 정보를 수집하고, 서비스를 식별한다.The attacker terminal 110 transmits attack target information to the attack server 120 . The attack server 120 collects information from an external network and identifies a service.

공격자 단말기(110)는 공격대상설정(예컨대, *.a.com)을 위한 제어 명령을 공격 서버(120)로 전송한다. 공격자 단말기(110)는 서비스 식별, 검색 엔진, 서브도메인에 대한 정보수집을 위한 제어 명령을 공격 서버(120)로 전송한다.The attacker terminal 110 transmits a control command for setting an attack target (eg, *.a.com) to the attack server 120 . The attacker terminal 110 transmits a control command for service identification, search engine, and information collection for the subdomain to the attack server 120 .

공격 서버(120)는 공격자 단말기(110)로부터 대상 설정 또는 정보 수집을 위한 제어 명령을 수신한다. 공격 서버(120)는 외부망에서 공격대상(*.a.com)을 선별한 후 서비스 식별(21 FTP, 22 SSH, 80 웹, 445 SMB, 3389 RDP, 3306 MYSQL, 8080 TOMCAT 등) 정보를 수집한다. 공격 서버(120)는 외부망에서 선별된 공격대상(*.a.com)에 대한 검색엔진(ADMIN Page, SQL Error, Test Page, Default Page (CMS Editor) 등) 정보를 수집한다. 공격 서버(120)는 외부망에서 선별된 공격대상(*.a.com)에 대한 서브 도메인(dev, test, Intra 등) 정보를 수집한다.The attack server 120 receives a control command for target setting or information collection from the attacker terminal 110 . The attack server 120 selects the attack target (*.a.com) from the external network and collects service identification (21 FTP, 22 SSH, 80 web, 445 SMB, 3389 RDP, 3306 MYSQL, 8080 TOMCAT, etc.) information do. The attack server 120 collects search engine (ADMIN Page, SQL Error, Test Page, Default Page (CMS Editor), etc.) information for the attack target (*.a.com) selected from the external network. The attack server 120 collects sub-domain (dev, test, Intra, etc.) information about the attack target (*.a.com) selected from the external network.

도 5는 본 실시예에 따른 최초 침투 단계를 설명하기 위한 도면이다.5 is a view for explaining the first penetration step according to the present embodiment.

공격자 단말기(110)는 공격 서버(120)로 공격명령을 전송한다. 공격 서버(120)는 외부망으로부터 정보를 수집된 정보 중 공격대상을 특징으로 공격대상으로 공격 및 최초 침투를 수행한다.The attacker terminal 110 transmits an attack command to the attack server 120 . The attack server 120 performs an attack and initial penetration as an attack target characterized by an attack target among information collected from an external network.

공격자 단말기(110)는 공격대상설정(예컨대, a.com, dev.a.com)을 위한 제어 명령을 공격 서버(120)로 전송한다. 공격자 단말기(110)는 공격대상을 공격(Brute-Force, File Upload, SQL Injection, CVE Attack)하는 제어 명령을 공격 서버(120)로 전송한다. The attacker terminal 110 transmits a control command for setting an attack target (eg, a.com, dev.a.com) to the attack server 120 . The attacker terminal 110 transmits a control command for attacking an attack target (Brute-Force, File Upload, SQL Injection, CVE Attack) to the attack server 120 .

공격 서버(120)는 무차별 대입 공격(Brute-Force)으로 공격대상인 [a.com]에 대해 공격(21 FTP, 22 SSH, 8080 TOMCAT)을 수행하고, 공격대상인 [dev.a.com]에 대해 공격(80 WEB)을 수행한다.The attack server 120 performs an attack (21 FTP, 22 SSH, 8080 TOMCAT) against [a.com], which is the target of a brute force attack (Brute-Force), and for [dev.a.com] as the target of attack Attack (80 WEB).

공격 서버(120)는 파일 업로드(File Upload)로 공격대상인 [a.com]에 대한 디폴트 페이지(Default Page)(CMS Editor)를 확인한다. 공격 서버(120)는 SQL 인젝션(SQL Injection)으로 공격대상인 [a.com]에 대한 SQL 에러 페이지(SQL Error Page)를 확인한다. 공격 서버(120)는 CVE 공격으로 공격대상인 [dev.a.com]에 대한 공격(TOMCAT)을 수행한다.The attack server 120 checks the default page (CMS Editor) for the attack target [a.com] by file upload. The attack server 120 checks the SQL Error Page for the attack target [a.com] by SQL injection. The attack server 120 performs an attack (TOMCAT) on [dev.a.com], an attack target as a CVE attack.

도 6은 본 실시예에 따른 거점 확보 단계를 설명하기 위한 도면이다.6 is a view for explaining the step of securing a base according to the present embodiment.

공격자 단말기(110)는 공격 서버(120)로 공격명령을 전송한다. 공격 서버(120)는 공격대상으로 침투 후, 거점 확보를 위한 연결 및 에이전트(130) 설치를 수행한다.The attacker terminal 110 transmits an attack command to the attack server 120 . After the attack server 120 penetrates into the attack target, a connection for securing a base and installation of the agent 130 are performed.

공격자 단말기(110)는 공격대상설정(예컨대, dev.a.com)을 위한 제어 명령을 공격 서버(120)로 전송한다. 공격자 단말기(110)는 공격대상을 공격(SQL Injection (확장 프로시저))하는 제어 명령을 공격 서버(120)로 전송한다. 공격자 단말기(110)는 공격대상으로 Win 바이너리 및 실행하는 에이전트(130)를 배포되도록 하는 제어 명령을 공격 서버(120)로 전송한다. The attacker terminal 110 transmits a control command for setting an attack target (eg, dev.a.com) to the attack server 120 . The attacker terminal 110 transmits a control command for attacking an attack target (SQL Injection (extended procedure)) to the attack server 120 . The attacker terminal 110 transmits to the attack server 120 a control command to distribute the Win binary and the executing agent 130 as an attack target.

공격 서버(120)는 공격대상인 [dev.a.com]에 대해 SQL Injection을 수행하여 xp_cmdshell 확장프로시저, 웹쉘 생성 또는 명령어 실행, 서버 권한 확인, 에이전트(130) 설치를 진행한다. 공격대상에 설치된 에이전트(130)는 공격 서버(120)로부터 공격대상에 다운로드되어, 에이전트를 실행하고 리버스 커넥션을 수행한다. 에이전트(130)는 퍼시스턴스(Persistence) 기능을 수행하고, 공격 서버(120)와 터널링을 구성한다.The attack server 120 performs SQL Injection on the attack target [dev.a.com], and proceeds with the xp_cmdshell extension procedure, web shell creation or command execution, server permission check, and agent 130 installation. The agent 130 installed in the attack target is downloaded from the attack server 120 to the attack target, and the agent is executed and a reverse connection is performed. The agent 130 performs a persistence function and configures tunneling with the attack server 120 .

도 7은 본 실시예에 따른 권한 상승 단계를 설명하기 위한 도면이다.7 is a view for explaining an authority elevation step according to the present embodiment.

공격자 단말기(110)는 공격 서버(120)로 공격명령을 전송한다. 공격 서버(120)는 공격대상으로 Reverse Connection 및 에이전트(130)(A1) 설치 후, 권한 상승을 위한 공격을 수행한다.The attacker terminal 110 transmits an attack command to the attack server 120 . The attack server 120 performs an attack for privilege elevation after installing the Reverse Connection and the agent 130 (A1) as an attack target.

공격자 단말기(110)는 공격대상설정(예컨대, 에이전트1(A1))을 위한 제어 명령을 공격 서버(120)로 전송한다. 공격자 단말기(110)는 공격대상에 대한 권한상승(서버 내 정보수집, 무차별 대입 공격(Brute-Force), 키-로거(Key-Logger) 실행)하도록 하는 제어 명령을 공격 서버(120)로 전송한다. The attacker terminal 110 transmits a control command for setting an attack target (eg, agent 1 (A1)) to the attack server 120 . The attacker terminal 110 transmits a control command to the attack server 120 to elevate authority to the attack target (collect information in the server, brute-force attack, and key-logger execution) to the attack server 120 . .

공격 서버(120)는 공격대상에 설치된 에이전트1(A1)로부터 정보를 수집한다. The attack server 120 collects information from the agent 1 (A1) installed in the attack target.

에이전트1(A1)은 정보 수집을 위해 명령어를 이용하여 설치된 공격대상의 계정을 확인한다. 에이전트1(A1)은 웹 소스, 각종 설정파일, 일반 텍스트 파일 등에 저장된 계정정보를 탐색한다. 에이전트1(A1)은 로컬 권한상승 취약점 공격(CVE)을 수행한다.Agent 1 (A1) verifies the account of the installed attack target by using a command to collect information. Agent 1 (A1) searches for account information stored in web sources, various setting files, and plain text files. Agent 1 (A1) performs a local privilege escalation vulnerability attack (CVE).

에이전트1(A1)은 무차별 대입 공격(Brute-Force)을 위해 유추하기 쉬운 계정에 대한 무작위 대입공격을 수행한다. 에이전트1(A1)은 키로거(Key-Logger)에 의한 계정 정보를 수집하고, 주기적으로 모니터링한다.Agent 1 (A1) performs a brute force attack on an account that is easy to infer for a brute-force attack. Agent 1 (A1) collects account information by a key-logger and monitors it periodically.

도 8은 본 실시예에 따른 내부정찰 단계를 설명하기 위한 도면이다.8 is a view for explaining the internal reconnaissance step according to the present embodiment.

공격자 단말기(110)는 공격 서버(120)로 공격명령을 전송한다. 공격 서버(120)는 공격대상으로 에이전트1(A1)에 공격명령 전달 후, 내부 정찰을 통한 에이전트2(A2)로 지속적 확산(전이) 공격을 수행한다.The attacker terminal 110 transmits an attack command to the attack server 120 . The attack server 120 transmits an attack command to agent 1 (A1) as an attack target, and then performs a continuous spread (transfer) attack to agent 2 (A2) through internal reconnaissance.

공격자 단말기(110)는 공격대상설정(예컨대, 에이전트1(A1))을 위한 제어 명령을 공격 서버(120)로 전송한다. 공격자 단말기(110)는 공격대상(에이전트1(A1))에 대한 내부정찰(중요정보 수집/탈취, 전이공격 준비)하도록 하는 제어 명령을 공격 서버(120)로 전송한다. 공격자 단말기(110)는 공격대상(에이전트1(A1))에 대한 정보수집(내부 네트워크 정찰, 서비스 식별)하도록 하는 제어 명령을 공격 서버(120)로 전송한다. The attacker terminal 110 transmits a control command for setting an attack target (eg, agent 1 (A1)) to the attack server 120 . The attacker terminal 110 transmits a control command to the attack server 120 for internal reconnaissance (collection/absorption of important information, preparation for a transfer attack) of the attack target (agent 1 (A1)). The attacker terminal 110 transmits a control command to the attack server 120 to collect information (internal network reconnaissance, service identification) on the attack target (agent 1 (A1)).

공격 서버(120)는 공격대상인 에이전트1(A1)로부터 내부정보를 수집한다. The attack server 120 collects internal information from the agent 1 (A1), which is an attack target.

에이전트1은 내부정보 수집을 위해 설치된 공격대상(서버 또는 단말기) 내 중요정보(계정, 설정, 대외비 정보 등)를 탐색한다. 에이전트1(A1)은 내부 망 네트워크를 스캔한다.Agent 1 searches for important information (account, settings, confidential information, etc.) in the installed attack target (server or terminal) to collect internal information. Agent 1 (A1) scans the internal network network.

공격 서버(120)는 공격대상인 에이전트1(A1)로 확산(전이공격)을 수행한다. 에이전트1(A1)은 확산(전이공격)을 위해 획득된 내부 정보를 통한 지속적 확산(전이공격)을 수행한다. 에이전트1(A1)은 공격 성공 시, 추가 에이전트를 설치한다.The attack server 120 performs a spread (transfer attack) to the agent 1 (A1), which is an attack target. Agent 1 (A1) performs continuous spread (transfer attack) through internal information obtained for spread (transfer attack). Agent 1 (A1) installs an additional agent upon successful attack.

도 9a,9b는 본 실시예에 따른 목적달성 단계를 설명하기 위한 도면이다.9A and 9B are diagrams for explaining the step of achieving an object according to the present embodiment.

공격자 단말기(110)는 공격 서버(120)로 공격명령을 전송한다. 공격 서버(120)는 공격대상으로 에이전트1(A1), 에이전트2(A2)에 공격명령 전달 후 목적달성(중요정보 탈취 및 흔적 제거 등)을 수행한다.The attacker terminal 110 transmits an attack command to the attack server 120 . The attack server 120 transmits an attack command to the agent 1 (A1) and agent 2 (A2) as an attack target, and then performs the purpose (such as stealing important information and removing traces).

공격자 단말기(110)는 공격대상설정(에이전트1(A1), 에이전트2(A2))을 위한 제어 명령을 공격 서버(120)로 전송한다. 공격자 단말기(110)는 공격대상에 대한 중요정보 탈취, 흔적을 제거하도록 하는 제어 명령을 공격 서버(120)로 전송한다. The attacker terminal 110 transmits a control command for setting an attack target (agent 1 (A1), agent 2 (A2)) to the attack server 120 . The attacker terminal 110 transmits a control command to the attack server 120 to steal important information about the attack target and remove traces.

공격 서버(120)는 공격대상인 에이전트1(A1), 에이전트2(A2)로부터 중요정보를 탈취한다. 에이전트1(A1), 에이전트2(A2)는 중요정보 탈취를 위해 설치된 각각의 공격대상(서버 또는 단말기)의 중요데이터 파일을 암호화한다. 에이전트1(A1), 에이전트2(A2)는 은닉채널 또는 암호화 통신을 이용하여 중요데이터 파일을 외부로 유출한다.The attack server 120 steals important information from the agent 1 (A1) and agent 2 (A2), which are the target of the attack. Agents 1 (A1) and 2 (A2) encrypt important data files of each attack target (server or terminal) installed to steal important information. Agents 1 (A1) and 2 (A2) leak important data files to the outside by using a hidden channel or encrypted communication.

공격 서버(120)는 공격대상인 에이전트1(A1), 에이전트2(A2)에서 흔적을 제거한다. 에이전트1(A1), 에이전트2(A2)는 흔적 제거를 위해 각각의 공격대상(서버 또는 단말기)의 로그인 흔적 제거, 이벤트 로그 제거, 공격에 사용한 모듈 제거, 에이전트 자가삭제를 수행한다.The attack server 120 removes traces from agent 1 (A1) and agent 2 (A2), which are attack targets. Agent 1 (A1) and Agent 2 (A2) perform log-in trace removal of each attack target (server or terminal), event log removal, module used for attack removal, and agent self-deletion to remove traces.

도 9b에 도시된 바와 같이, 에이전트(130)는 설치된 공격대상(서버 또는 단말기)에 침투 후 화면캡쳐를 수행한다.As shown in Figure 9b, the agent 130 performs a screen capture after infiltrating the installed attack target (server or terminal).

공격자 단말기(110)는 공격대상설정(에이전트1(A1), 에이전트2(A2))을 위한 제어 명령을 공격 서버(120)로 전송한다. 공격자 단말기(110)는 공격대상에 대한 화면을 캡쳐하도록 하는 제어 명령을 공격 서버(120)로 전송한다. The attacker terminal 110 transmits a control command for setting an attack target (agent 1 (A1), agent 2 (A2)) to the attack server 120 . The attacker terminal 110 transmits a control command for capturing a screen of the attack target to the attack server 120 .

공격 서버(120)는 에이전트(130)로 주요정보 탈취, 흔적제거에 대한 화면을 캡쳐(PNG 형식, 100% 배율)하도록 하는 제어 명령을 전송한다. 에이전트(130)(A1,A2)는 공격 서버(120)로 수행 결과, 캡쳐된 파일을 전송한다. 이후 에이전트(130)(A1,A2)는 흔적제거를 위해 전송한 파일을 삭제한다.The attack server 120 transmits a control command to the agent 130 to capture the screen (PNG format, 100% magnification) for stealing main information and removing traces. The agent 130 (A1, A2) transmits the captured file to the attack server 120 as a result of the execution. After that, the agent 130 (A1, A2) deletes the transmitted file for trace removal.

이상의 설명은 본 실시예의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 실시예들은 본 실시예의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 실시예의 기술 사상의 범위가 한정되는 것은 아니다. 본 실시예의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 실시예의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The above description is merely illustrative of the technical idea of this embodiment, and various modifications and variations will be possible without departing from the essential characteristics of the present embodiment by those skilled in the art to which this embodiment belongs. Accordingly, the present embodiments are intended to explain rather than limit the technical spirit of the present embodiment, and the scope of the technical spirit of the present embodiment is not limited by these embodiments. The protection scope of this embodiment should be interpreted by the following claims, and all technical ideas within the scope equivalent thereto should be interpreted as being included in the scope of the present embodiment.

110: 공격자 단말기
120: 공격 서버
130: 에이전트110: attacker terminal
120: attack server
130: agent

Claims

a pre-infiltration information collection process of selecting an attack target from an external network based on a control command received from the attacker terminal and collecting internal information about the attack target;
an initial penetration process of identifying an accessible path based on the inside information;
a process of securing a base to execute the agent installed in the attack target;
When it is confirmed that the connection with the agent is possible, an authority elevation process of confirming the elevation of the authority to access the attack target;
After transmitting the attack command to the agent, when the attack target installed with the agent is ineffective according to the attack command, a main information collection command is transmitted to the agent, and the main information corresponding to the main information collection command from the agent an internal reconnaissance process to collect; and
The process of achieving the purpose of stealing the main information to the outside and removing the traces of the stealing of the important information by using the agent
Cyber attack simulation providing method comprising a.

According to claim 1,
The pre-infiltration information collection process is
a process of collecting externally disclosed information as the internal information based on OSINT (Open Source Intelligence), crawling, and dark web for the attack target in the external network; and
The process of collecting information scanned on the attack target from the external network as the internal information
Cyber attack simulation providing method comprising a.

3. The method of claim 2,
The first penetration process is
identifying a vulnerability for the attack target based on the internal information, and performing an exploit attack on the vulnerability when it is confirmed that the attack target can be accessed based on the vulnerability;
if it is confirmed that access to the target is not possible based on the vulnerability, accessing the target by a first security bypass;
If it is confirmed that access to the attack target by the first security bypass is impossible, accessing the attack target through a general path; and
performing a malicious code attack through another path when it is confirmed that the attack target cannot be accessed through the general path;
Cyber attack simulation providing method comprising a.

4. The method of claim 3,
The process of securing the base
If the exploit attack for the vulnerability succeeds, the first security bypass approaches the attack target, the general path approaches the attack target, or the malicious code attack succeeds, whether it is possible to connect to the agent installed in the attack target sending the execution command to the agent when it is confirmed that the connection to the agent is possible as a result of the check; and
transmitting the execution command to the agent by a second security bypass when it is confirmed that connection to the agent is impossible;
Cyber attack simulation providing method comprising a.

5. The method of claim 4,
The internal reconnaissance process is
When it is confirmed that the access to the attack target is elevated, performing an Admin permission unit attack on the attack target;
If the elevation of access to the attack target is not confirmed, the process of performing a user permission unit attack;
performing a host-level unit attack based on malicious code when the execution command is not transmitted to the agent by the second security bypass or a malicious code attack is possible through the general path;
performing another attack using a third-party program when scanning is not possible for the attack target, access is not possible through the other path, or a malicious code attack is not possible through the general path;
Cyber attack simulation providing method comprising a.

6. The method of claim 5,
The internal reconnaissance process is
When the attack target in which the agent is installed is incapacitated due to the success of the manager-rights unit attack, the user-privileged unit attack, the host level unit attack, and the other attacks, a command to collect key information is transmitted to the agent How to provide cyberattack simulation.

7. The method of claim 6,
The process of achieving the above purpose is
After the agent collects the main information, deletes logs, creates processes, destroys backdoors, key-loggers, and MBR (Master Boot Record) for the attack target installed with the agent, captures, compresses Cyber attack simulation providing method, characterized in that to perform at least one or more of.